Finansinspektionen har nu avslutat en undersökning som hade syftet att utreda om Swedbank har vidtagit tillräckliga åtgärder för att säkerställa att dess särskilda gränssnitt gentemot tredjepartsleverantörer uppfyller de uppställda kraven. Trots en del brister skriver nu myndigheten av ärendet.
Finansinspektionen (FI) underrättade den 2 september 2021 Swedbank om att myndigheten hade inlett en undersökning med syfte att utreda om banken har vidtagit tillräckliga åtgärder för att säkerställa att dess särskilda gränssnitt gentemot tredjepartsleverantörer uppfyller kraven på sträng kundautentisering och gemensamma och säkra öppna kommunikationsstandarder i enlighet med EU:s andra betaltjänstdirektiv (PSD2) 1 och Kommissionens delegerande förordning om tekniska tillsynsstandarder (RTS)2.
Lagen om betaltjänster
Den 1 maj 2018 upptogs direktivet i lagen om betaltjänster. I samband med detta ställdes krav på kontoförvaltande betaltjänstleverantörer att öppna upp gränssnitt gentemot tredjepartsleverantörer. Undersökningen utgår även från Europeiska Bankmyndighetens (EBA) yttrande gällande hinder där kraven på bankerna tydliggjorts.
Fokus för undersökningen har varit att utvärdera regelefterlevnad på följande områden: Sträng kundautentisering vid identifiering och autentisering, likvärdiga och grundläggande funktioner i kund- och särskilda gränssnittet och gränssnittens tillgänglighet och stabilitet.
Undersökningsperioden
Undersökningsperioden har omfattat perioden från den 2 september 2021 till och med den 3 februari 2022. FI genomförde platsbesök i bankens lokaler den 6-8 oktober samt den 20 oktober 2021. Under platsbesöken tog FI del av relevant dokumentation och genomförde möten med nyckelpersoner i banken.
Ett första möte hölls mellan banken och FI den 24 september 2021, där banken höll en övergripande presentation av dess gränssnitt. FI informerade banken om undersökningsprocessens olika steg, som avstämningsskrivelse och rutiner för beslut om fortsatt hantering av ärendet.
FI skickade kompletterande frågor till banken vid fyra tillfällen. Därtill har FI och banken haft två möten på distans utöver platsbesöken.
Vissa brister
FI skriver att undersökningen har utmynnat i vissa iakttagelser som FI bedömt som brister i bankens hantering av sträng kundautentisering vid identifiering och autentisering samt likvärdiga och grundläggande funktioner i kund- och särskilda gränssnittet. Banken har uppgett att bristerna kommer att åtgärdas.
Bristerna ska åtgärdas innan utgången av tredje kvartalet 2022.
FI har även granskat gränssnittens tillgänglighet och stabilitet och bedömer, efter dialog och skriftväxling med banken, att de är tillfredsställande.
”FI bedömer att de åtgärder som banken har angett är tillräckliga för att rätta till de brister som FI har pekat på. Bankens tidplan för åtgärderna är godtagbar. Därmed finns det inte anledning för FI att vidta ytterligare åtgärder med anledning av undersökningen. Ärendet ska därför skrivas av”, avslutar FI.
